pfSense mit HAProxy und FritzBox mit IPv6

JeGr

@eyespeak Ich würde jetzt vermuten die Overwrite Werte setzen, HTTPS im Proxy machen (TLS interception) und direkt in HAProxy schon alles auf HTTPS umschreiben lassen. Dann noch die Card/Caldav redirects direkt im Frontend oder Backend umsetzen und dann mal sehen obs lüppt :)

eyespeak

@jegr Ist das denn alles notwendig wenn man quasi gar kein Reverse Proxy macht, sondern 1:1 durchreicht.
Also das SSL Offloading findet weiterhin am Backendserver statt.

Ich frage mich warum die Nextcloud App einfach nicht laufen möchte.

JeGr

@eyespeak Was heißt alles 1:1 durchreicht? Wie ist das Frontend denn konfiguriert?

eyespeak

@jegr

JeGr

@eyespeak Das ist dann ja NUR das 443er Frontend - ist dann schön und gut dass das durchgereicht wird, aber die Umleitung HTTP/HTTPS passiert ja auf nem Frontend auf Port 80, nicht wenn wir schon SSL reden. Oder hört das Frontend auf 80 UND 443? Dann könnte man trotzdem in den Regeln einbauen, dass man alles was !HTTPS reinkommt direkt auf HTTPS redirected. Aber nun... man könnte es eben auch einfach ausprobieren, ob es mit SSL termination besser funktioniert.

eyespeak

@jegr Port 80 steht auf:

eyespeak

Hat noch jemand Ideen dazu?

viragomann

@eyespeak
Die Nextcloud App benötigt einige spezielle Einstellungen am Server. Ich könnte mir auch gut vorstellen, dass das nicht richtig über HAproxy kommt.

Ein anderer Ansatz vielleicht: Ist der HAproxy davor wirklich nötig?

Meine Nextcloud läuft bspw. auf einem Apache Webserver. Auf diesem laufen noch 3 Proxy-Instanzen, die bestimmte Hostheader auf andere Webserver weiterleiten, natürlich nicht transparent.
Ist super-easy zu konfigurieren und für meine Zwecke reicht es völlig. Ähnlich funktioniert das IMHO auch auf Nginx.

eyespeak

@viragomann Naja, der einzige Einsatzzweck ist für mich eine Trennung der Ports 80 und 443 für verschiedene Subdomains. Mit IPv6 only wäre es ja kein Problem. Ich habe bisher noch nicht herausgefunden was genau ich an der Nextcloud config ändern muss, damit diese Header durch gehen.

Was hast du denn beim Apache eingestellt? Bei mir läuft ein Nginx.

viragomann

@eyespeak
Du wirst natürlich nach einer Umsetzungsmöglichkeit für Nginx suchen müssen. Ich habe mal eine solche gesehen und sie sieht ganz ähnlich aus.

Ich habe bei Apache die Module proxy und proxy_http installiert.
Die Konfig für meinen Photovoltaik Wechselrichter sieht dann so aus:

# Photovoltaik Proxy
<VirtualHost *:80>
 ServerName pv-meine.domain.eu
 ProxyPass           / http://10.50.10.6/ retry=1 timeout=50
 ProxyPassReverse    / http://10.50.10.6/
</VirtualHost>

Auf ProxyPass folgt das virtuelle Verzeichnis des VHosts (/), das auf den Proxy geleitet werden soll und dahinter die Ziel-Adresse. Hier kann auch ein spezieller Port mitgegeben werden. retry und timeout sind optional. Mein Wechselrichter schaltet aber nachts ab und ist damit nicht mehr erreichbar, daher sind diese Angaben hier ganz sinnvoll.

TLS Offloading mache ich nicht, sollte aber auf gleiche Weise funktionieren, nur dass dem VHost noch eine Zertifikatskette zugewiesen werden muss.

Nutzt du zufällig Collabora Online oder ein anderes Plugin in Dokker in Nextcloud?
Das wird nämlich auch über ein Proxy ungebunden. Die Konfiguration dafür habe ich mir im Netz gesucht. Diese hat mich für die Einrichtung der weiteren Proxys inspiriert.
Und eben genau in diesem Zusammenhang bin ich auf Nginx-Konfigurationen gestoßen.

Wenn du aber nach einer Lösung für HAproxy suchst, könntest du bei der Nextcloud Community eher Erfolg haben als hier.